Warum regelmäßiges Ändern des Passworts unnötig ist

Geschrieben von .Redaktion.

passwortHannover, 30. Januar 2019 – Am 1. Februar ist „Ändere-Dein-Passwort"-Tag". Doch statt sich regelmäßig neue Passwörter auszudenken, sollte man für jeden wichtigen Online-Dienst ein separates, sicheres Passwort verwenden, rät das Computermagazin c’t. Ein Passwort-Manager kann dabei wertvolle Dienste leisten. Passwort-Änderungen als Selbstzweck hingegen führen nicht zwangsläufig zu mehr Sicherheit und gelten als überholt.

Passwörter sind aus Nutzersicht vor allem eins: nervig. Sollen sie sicher sein, muss man sich komplizierte und/oder lange Zeichenfolgen merken. Hält man sich dann noch an die Empfehlung, für jeden Dienst ein eigenes Passwort zu vergeben, steigt man schnell nicht mehr durch. Viele Nutzer haben schon längst resigniert und verwenden der Einfachheit halber ein Passwort für mehrere Dienste. Doch das ist hochgradig gefährlich: Knackt ein Angreifer einen Account, kann er auch auf alle anderen zugreifen.

„Statt sich jedoch jedes Jahr am „Ändere-Dein-Passwort"-Tag zig neue Passwörter auszudenken, sollte man einen Passwort-Manager nutzen“, empfiehlt c’t Redakteur Ronald Eikenberg. „Dieser nimmt einem lästige Tipparbeit ab und generiert auf Wunsch zufällige Passwörter.“ Im Test des Computermagazins c‘t haben EnpassKeePassPassword Depot und SafeInCloud gute Bewertungen erhalten. Die Passwort-Manager bieten dem User freie Hand bei der Art der Synchronisierung der Passwörter und sind komfortabel zu bedienen.

Möchte man seine Passwörter stattdessen selbst verwalten, gibt es diverse Regeln: „Geht es um persönliche Daten oder Geld, sollten Sie es einem Angreifer nicht leichter als nötig machen und eine lange Passphrase einsetzen.“ Außerdem gilt: Je individueller die Zeichenabfolge, desto besser. Der Dienst „Pwned Passwords“ ist hierbei ein gern genutzter Helfer. Er vergleicht das selbst eingegebene Passwort mit seiner Datenbank und findet so heraus, ob sich die eingegebene Zeichenfolge schon auf einer Liste bereits geknackter Passwörter befindet.

Darüber hinaus sollte man - wann immer es geht - die sogenannte Zwei-Faktor-Authentifizierungeinschalten. Dann ist der Account auch dann noch geschützt, wenn ein Angreifer die Zugangsdaten kennt.
Weitere Tipps gibt das Computermagazin c’t in seiner Sicherheits-Checkliste der c’t 20/18 .